Belgier entdeckt Sicherheitslücke auf "Vatican News"

Hacker platziert Papst-Falschmeldung beim Vatikan

Veröffentlicht am 09.02.2018 um 12:45 Uhr – Lesedauer: 
Hacker platziert Papst-Falschmeldung beim Vatikan
Bild: © katholisch.de
IT-Sicherheit

Vatikanstadt ‐ "Gott ist eine Zwiebel" war als angebliches Papstzitat auf "Vatican News" zu lesen. Verantwortlich dafür war ein belgischer Hacker: Er hatte die Vatikan-Webmaster zunächst vorgewarnt. Doch vergeblich.

  • Teilen:
Vorlesen

Der belgische IT-Sicherheitsexperte Inti De Ceukelaire hat eine Sicherheitslücke bei Vatican News entdeckt. Durch die Lücke sei es möglich gewesen, beliebige Inhalte auf der Seite zu publizieren, wie De Ceukelaire am Donnerstag auf Twitter selbst mitteilte. Um den Fehler zu belegen, stellte er eine Meldung mit dem Titel "Pope Francis: The Lord is an Onion" ("Papst Franziskus: Der Herr ist eine Zwiebel") auf die Webseite des Internetportals des Heiligen Stuhls. Mittlerweile ist die Falschmeldung wieder entfernt.

Gegenüber dem IT-Informationsdienst "The Next Web" sagte De Ceukelaire, er habe zuvor mehrfach versucht, "Vatican News" über die Sicherheitslücke zu informieren, der Fehler sei aber nicht behoben worden. Daraufhin habe er die Falschmeldung auf der Webseite platziert: Und zwar nicht, um Schaden anzurichten, sondern um zu zeigen, dass mit diesem Fehler leicht 'Fake News' verbreitet werden können. Papst oder nicht, an Sicherheitsstandards muss man sich halten." Gegenüber katholisch.de bestätigte "Vatican News", dass der Fehler inzwischen behoben sei.

HTML-Elemente (z.B. Videos) sind ausgeblendet. Zum Einblenden der Elemente aktivieren Sie hier die entsprechenden Cookies.

Das Vorgehen De Ceukelaires entspricht dem Verhaltenskodex des "responsible disclosure" ("verantwortungsbewusste Offenlegung"), bei der entdeckte Sicherheitslücken nicht sofort veröffentlicht werden, sondern den Betroffenen zunächst die Gelegenheit gegeben wird, sie zu beheben. Im vorliegenden Fall handelte es sich um eine sogenannte "reflektierte Cross-Site-Skripting-Attacke", bei der über die aufgerufene Internet-Adresse Daten eingeschleust werden, die ohne Prüfung durch den Web-Server wieder ausgegeben werden. Über diese Methode wäre es auch möglich, Schadsoftware zu verbreiten. De Ceukelaire, der sich selbst als "ethischen Hacker" bezeichnet, hatte bereits zuvor Sicherheitslücken bei großen Onlinediensten wie Slack und Yammer aufgedeckt.

Für Falschmeldungen ist man im Vatikan sensibel, auch wenn man dort ansonsten eher Opfer als versehentlicher Verbreiter davon ist. Zuletzt hatte sich Papst Franziskus in seiner Botschaft zum Welttag der sozialen Kommunikationsmittel deutlich gegen "Fake News" und für einen verantwortlichen Journalismus ausgesprochen. (fxn)